/*
 * Copyright 2013-2020 the original author or authors.
 *
 * Licensed under the Apache License, Version 2.0 (the "License");
 * you may not use this file except in compliance with the License.
 * You may obtain a copy of the License at
 *
 *      https://www.apache.org/licenses/LICENSE-2.0
 *
 * Unless required by applicable law or agreed to in writing, software
 * distributed under the License is distributed on an "AS IS" BASIS,
 * WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
 * See the License for the specific language governing permissions and
 * limitations under the License.
 */

package org.springframework.cloud.gateway.filter.factory;

import java.util.ArrayList;
import java.util.List;

import org.springframework.boot.context.properties.ConfigurationProperties;

/**
 * @author Spencer Gibb, Thirunavukkarasu Ravichandran
 *
 * SecureHeadersProperties 是 Spring Boot 中用于配置安全头（Security Headers）的属性类，
 * 通常与 Spring Security 一起使用来增强应用的安全性。
 * 通过这些配置，你可以轻松地添加或定制 HTTP 响应中的各种安全相关的头部信息，
 * 从而防御常见的安全威胁，如点击劫持、跨站脚本（XSS）、内容嗅探等。
 *
 *主要功能
 * Spring Security 自动配置了一些默认的安全头，但你可以通过 application.yml 或 application.properties 文件自定义这些设置。以下是几个重要的安全头及其作用：
 * 		HTTP Strict Transport Security (HSTS)：强制浏览器只通过 HTTPS 访问你的网站，防止中间人攻击。
 * 		X-Content-Type-Options：防止浏览器猜测资源的 MIME 类型，有助于防止基于 MIME 类型混淆的攻击。
 * 		X-Frame-Options：控制是否允许页面在 <frame> 或 <iframe> 中展示，防止点击劫持。
 * 		X-XSS-Protection：启用浏览器内置的 XSS 过滤器。
 * 		Content-Security-Policy (CSP)：指定哪些动态资源可以被加载和执行，帮助减轻 XSS 攻击的风险。
 * 		Cache-Control 和 Pragma：控制浏览器缓存行为，防止敏感数据泄露。
 */
@ConfigurationProperties("spring.cloud.gateway.filter.secure-headers")
public class SecureHeadersProperties {

	/**
	 * Xss-Protection header default.
	 * 默认值："1 ; mode=block"
	 * 作用：启用浏览器的 XSS 防护机制，并在检测到攻击时阻止页面渲染。
	 */
	public static final String X_XSS_PROTECTION_HEADER_DEFAULT = "1 ; mode=block";

	/**
	 * Strict transport security header default.
	 * 默认值："max-age=631138519"
	 * 作用：强制浏览器仅通过 HTTPS 访问网站，防止中间人攻击。
	 * max-age=631138519 表示有效期为 20 年。
	 */
	public static final String STRICT_TRANSPORT_SECURITY_HEADER_DEFAULT = "max-age=631138519";

	/**
	 * Frame Options header default.
	 * 默认值："DENY"
	 * 作用：防止页面被嵌套到 <frame>、<iframe> 或 <object> 中，防止点击劫持攻击。
	 */
	public static final String X_FRAME_OPTIONS_HEADER_DEFAULT = "DENY";

	/**
	 * Content-Type Options header default.
	 * 默认值："nosniff"
	 * 作用：防止浏览器猜测资源的 MIME 类型，避免 MIME 类型混淆攻击。
	 * nosniff：禁止嗅探、禁止猜测
	 */
	public static final String X_CONTENT_TYPE_OPTIONS_HEADER_DEFAULT = "nosniff";

	/**
	 * Referrer Policy header default.
	 * 默认值："no-referrer"
	 * 作用：控制请求中的 Referer 头部信息，防止泄露用户隐私。
	 */
	public static final String REFERRER_POLICY_HEADER_DEFAULT = "no-referrer";

	/**
	 * Content-Security Policy header default.
	 * 作用：限制哪些动态资源可以被加载和执行，帮助防御 XSS 和其他注入攻击。
	 */
	public static final String CONTENT_SECURITY_POLICY_HEADER_DEFAULT = "default-src 'self' https:; font-src 'self' https: data:; img-src 'self' https: data:; object-src 'none'; script-src https:; style-src 'self' https: 'unsafe-inline'";

	/**
	 * Download Options header default.
	 * 作用：防止用户在下载文件后直接打开文件，降低恶意文件的风险。
	 */
	public static final String X_DOWNLOAD_OPTIONS_HEADER_DEFAULT = "noopen";

	/**
	 * Permitted Cross-Domain Policies header default.
	 * 作用：限制 Flash 或 PDF 等跨域资源的访问策略。
	 */
	public static final String X_PERMITTED_CROSS_DOMAIN_POLICIES_HEADER_DEFAULT = "none";

	/**
	 *
	 */
	private String xssProtectionHeader = X_XSS_PROTECTION_HEADER_DEFAULT;

	private String strictTransportSecurity = STRICT_TRANSPORT_SECURITY_HEADER_DEFAULT;

	private String frameOptions = X_FRAME_OPTIONS_HEADER_DEFAULT;

	private String contentTypeOptions = X_CONTENT_TYPE_OPTIONS_HEADER_DEFAULT;

	private String referrerPolicy = REFERRER_POLICY_HEADER_DEFAULT;

	private String contentSecurityPolicy = CONTENT_SECURITY_POLICY_HEADER_DEFAULT;

	private String downloadOptions = X_DOWNLOAD_OPTIONS_HEADER_DEFAULT;

	private String permittedCrossDomainPolicies = X_PERMITTED_CROSS_DOMAIN_POLICIES_HEADER_DEFAULT;

	/**
	 * 这个字段允许开发者指定需要禁用的安全头。
	 * 		例如，如果你想禁用 X-Frame-Options，可以在配置文件中添加：
	 *
	 *spring:
	 *   cloud:
	 *     gateway:
	 *       filter:
	 *         secure-headers:
	 *           disable:
	 *             - frame-options
	 */
	private List<String> disable = new ArrayList<>();

	public String getXssProtectionHeader() {
		return xssProtectionHeader;
	}

	public void setXssProtectionHeader(String xssProtectionHeader) {
		this.xssProtectionHeader = xssProtectionHeader;
	}

	public String getStrictTransportSecurity() {
		return strictTransportSecurity;
	}

	public void setStrictTransportSecurity(String strictTransportSecurity) {
		this.strictTransportSecurity = strictTransportSecurity;
	}

	public String getFrameOptions() {
		return frameOptions;
	}

	public void setFrameOptions(String frameOptions) {
		this.frameOptions = frameOptions;
	}

	public String getContentTypeOptions() {
		return contentTypeOptions;
	}

	public void setContentTypeOptions(String contentTypeOptions) {
		this.contentTypeOptions = contentTypeOptions;
	}

	public String getReferrerPolicy() {
		return referrerPolicy;
	}

	public void setReferrerPolicy(String referrerPolicy) {
		this.referrerPolicy = referrerPolicy;
	}

	public String getContentSecurityPolicy() {
		return contentSecurityPolicy;
	}

	public void setContentSecurityPolicy(String contentSecurityPolicy) {
		this.contentSecurityPolicy = contentSecurityPolicy;
	}

	public String getDownloadOptions() {
		return downloadOptions;
	}

	public void setDownloadOptions(String downloadOptions) {
		this.downloadOptions = downloadOptions;
	}

	public String getPermittedCrossDomainPolicies() {
		return permittedCrossDomainPolicies;
	}

	public void setPermittedCrossDomainPolicies(String permittedCrossDomainPolicies) {
		this.permittedCrossDomainPolicies = permittedCrossDomainPolicies;
	}

	public List<String> getDisable() {
		return disable;
	}

	public void setDisable(List<String> disable) {
		this.disable = disable;
	}

	@Override
	public String toString() {
		final StringBuffer sb = new StringBuffer("SecureHeadersProperties{");
		sb.append("xssProtectionHeader='").append(xssProtectionHeader).append('\'');
		sb.append(", strictTransportSecurity='").append(strictTransportSecurity).append('\'');
		sb.append(", frameOptions='").append(frameOptions).append('\'');
		sb.append(", contentTypeOptions='").append(contentTypeOptions).append('\'');
		sb.append(", referrerPolicy='").append(referrerPolicy).append('\'');
		sb.append(", contentSecurityPolicy='").append(contentSecurityPolicy).append('\'');
		sb.append(", downloadOptions='").append(downloadOptions).append('\'');
		sb.append(", permittedCrossDomainPolicies='").append(permittedCrossDomainPolicies).append('\'');
		sb.append(", disabled='").append(disable).append('\'');
		sb.append('}');
		return sb.toString();
	}

}
